HOME情報セキュリティ情報セキュリティ対策脆弱性対策「EC-CUBE」におけるセキュリティ上の弱点(脆弱性)の注意喚起
株式会社ロックオンが提供する「EC-CUBE」は、オープンソースで開発されているショッピングサイトを構築するソフトウェアです。
「EC-CUBE」には、保存されている情報が漏えいしてしまうセキュリティ上の弱点(脆弱性)があります。この弱点が悪用されると、「EC-CUBE」に保存されている顧客情報が悪意あるユーザに漏えいしてしまう可能性があります。
脆弱性による影響が大きいことと、「EC-CUBE」の普及状況から、この影響を受けるショッピングサイト運営者が国内に広く存在すると判断し、注意喚起を行いました。
詳細は、次のURLを参照して下さい。
http://www.ec-cube.net/info/weakness/index.php
最新情報は、次のURLを参照下さい。
http://jvndb.jvn.jp/jvndb/JVNDB-2009-000078
本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき、2009年11月27日にIPAおよびJPCERT/CC(一般社団法人JPCERT コーディネーションセンター)が製品開発者自身から連絡を受けて、2009年12月7日に公表したものです。
「EC-CUBE」に保存されている顧客情報が悪意あるユーザに漏えいしてしまう可能性があります。
対策方法は「開発者が提供する対策済みバージョンに更新する」、または「開発者が提供する情報をもとにファイルを修正する」ことです。
| 本脆弱性の深刻度 | □ I(注意) | ■ II(警告) | □ III(危険) |
|---|---|---|---|
| 本脆弱性のCVSS基本値 | 5.0 |
| AV:攻撃元区分 | □ ローカル | □ 隣接 | ■ ネットワーク |
|---|---|---|---|
| AC:攻撃条件の複雑さ | □ 高 | □ 中 | ■ 低 |
| Au:攻撃前の認証要否 | □ 複数 | □ 単一 | ■ 不要 |
| C:機密性への影響 (情報漏えいの可能性) |
□ なし | ■ 部分的 | □ 全面的 |
| I:完全性への影響 (情報改ざんの可能性) |
■ なし | □ 部分的 | □ 全面的 |
| A:可用性への影響 (業務停止の可能性) |
■ なし | □ 部分的 | □ 全面的 |
注)■:選択した評価結果
AV:AccessVector, AC:AccessComplexity, Au:Authentication,
C:ConfidentialityImpact, I:IntegrityImpact, A:AvailabilityImpact
本脆弱性のCWE分類は、「情報漏えい(CWE-200)」です。
ソフトウェア製品及びウェブサイトの脆弱性対策を促進し、コンピュータウイルスやコンピュータ不正アクセス等によって、不特定多数のコンピュータ(パソコン)に対して引き起こされる被害を予防するため、経済産業省の告示に基づき、官民の連携体制「情報セキュリティ早期警戒パートナーシップ」を整備し運用しています(図6-1参照)。
最新の届出状況は 「脆弱性関連情報に関する届出状況(プレスリリース)」 を参照下さい。
図6-1.「情報セキュリティ早期警戒パートナーシップ」の基本枠組み
IPA セキュリティ センター(IPA/ISEC) 山岸/渡辺
Tel:03-5978-7527 Fax:03-5978-7518
E-mail: 
IPA 戦略企画部 広報グループ 横山/大海
Tel:03-5978-7503 Fax:03-5978-7510
E-mail: 
| 2009年12月7日 | 掲載 |
|---|
